>> Ну да конечно, только вот их патчи на 99.9% защищают от всех експлойтов.
> Истина. Они защищают от 99% эксплоитов. А ещё с их патчами огромное
> число программ просто откажутся запускаться. Запустите JVM, запустите Racket. Не получается?

Эти программы точно так же не запустятся, если посредством SELinux им запретить помечать страницы памяти на запись и исполнение кода (нарушение правила W^X). Значит ли это, что SELinux несовместим с нормальной работой системы? Нет, это значит, что SELinux реализует ограничения, которые для некоторых приложений включать не стоит.

В Grsecurity ситуация обстоит точно также: всем процессам в системе по умолчанию запрещено нарушать правило W^X, из-за которого закономерно не работают приложения, использующие JIT-компиляцию. Но этот запрет можно отключить выборочно, конкретно для этих приложений (выставив флаги ФС через setfattr: setfattr -n user.pax.flags -v m /path/to/the/executable), либо для всей системы. Причём, в последнем случае - как на этапе сборки ядра (собирать без CONFIG_PAX_MPROTECT), так и с помощью аргументов ядра через загрузчик: pax_softmode=1 (но так отключаются все защиты юзерспейса, вследствие чего их явно придётся включать флагами для каждого исполняемого файла, где они нужны).

> А Emacs запустится ли, как думаете? Нет?

У меня запускается даже без выставления флагов на исполняемый файл.

> Ну и что с такой системой делать?

Читать документацию и работать без проблем? :)